パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

個人ユーザのセキュリティ対策の寒い現状」記事へのコメント

  • (重要な)ファイルにはパスワードを設定する が回答項目にないことに違和感が。
    暴露ウイルスが問題になってる現状を考えると、必須でしょ。
    • ローカルファイルに掛けられた静的なパスワードなんて「気休め」にしかならないですよ。

      こんなサービス [fujigoma.com]もあることですし。

      暴露ウイルスにやられて悪意の在る相手にファイルが渡ってしまったら、辞書攻撃や総当りで1週間もあれば突破されてしまうでしょう。暗号化に使うアルゴリズムによっては解読時間が極端に短くなるようなので暗号強度のチェックも欠かせません。

      パスワードを掛けていれば、安心だと思いますが、お金を剥き身で置いておくか、金庫に入れておくかの違いでしかないと言うことは認識しておかないと危険です。

      そう考えると、コンピュータに詳しくない人に「パスワードを掛ければ安全」と言う認識を与えてしまうのは、「危険」といえるでしょう。
      --
      事態は際限なく悪化する。
      親コメント
      • 仰るとおり「パスワードを掛ければ安全」ではなく、
        金庫に入れただけなんですよね。
        ただし本物の金庫と違い、入れる対象は時間とともに価値の落ちる情報。
        (もちろん価値が落ちないのもあるが。。)

        だからパスワードは情報の価値がなくなるまでの時間稼ぎでしかなく、
        パスワードの文字数とフレーズは、時間を稼ぐために重要な要素と認識してます。

        #リンク先の10日で理論上100%って古いワード等の15文字パスワードのみ対象か?

        親コメント
      • >ローカルファイルに掛けられた静的なパスワードなんて
        >「気休め」にしかならないですよ。
        具体的にどのくらいのコストで破られると困るんでしょうか。

        例えば、7-zipのデフォルト暗号化(AES256)をかけたとします。
        AESに総当り以外の方法がないと仮定し、ドキュメントの記述を信じるなら
        辞書にひっかからない程度に複雑なパスワードであれば
        Single User Attackなら8文字で19年、
        Organization Attackを受けたとして12文字で4ヶ月かかるわけです。

        「気休め」に必要な暗号化レベルはどれくらいでしょうか。
        私の場合、大半のファイルは8文字の「気休め」で十分です。
        • by Anonymous Coward on 2007年07月15日 18時52分 (#1190208)
          そのアプローチの致命的な欠点は
          「辞書にひっかからない程度の複雑なパスワードを設定できてかつ覚えていられるユーザ」
          を十分な数調達するのは難しいため多くの企業では導入が難しいということです…

          # もちろん個人の気休めなら十分
          親コメント
          • >そのアプローチの致命的な欠点は
            >「辞書にひっかからない程度の複雑なパスワードを設定できてかつ覚えていられるユーザ」
            >を十分な数調達するのは難しいため多くの企業では導入が難しいということです…

            なるほど、それを入社試験の基準に取り入れ、リストラ候補の基準に取り入れれば完璧だ!

            と、なるわけは無く、「そうか、では部署毎にパスワードを統一して手順書に記録する事」という間抜けな運用になるわけですね。
            しかも、その手順書は印刷して物理的制約をかけるのでもなく電子で各自のPCに保存されているとか、メールフォルダを漁ると出てくると言う。
            こういうのは、通帳と印鑑を一緒に保管するようなものでして、肝心な時に役に立たないのに日常の手間を増やしているだけでかえって良くない。
            役に立たないセキュリティー施策を守らせるのにも、意味は無い訳では無いですが、遵守するという心構え自体が漏洩を予防する間接的効果の点で。
        • 「最新鋭イージス艦の設計図」と「我が社の予算表(零細企業です)」では、要件が違いすぎるので、守るものにも拠りますが。

          「英数記号を織り交ぜて10文字以上」が僕の「気休め」ですね。

          リモートからのアタックなら事実上突破不可能でしょうし、ローカルアタックでも相当苦労するはず(その苦労に見合うような情報は残念ながら持っていません(^^; )。

          あと、ソーシャルアタックを受けないように"rINGO%gORIRA&rAPPA"などの覚えやすいパスワードにすることも重要かと。
          --
          事態は際限なく悪化する。
          親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...